[LUG.ro] Nota de seguridad en clarin...

[Andrés D'Elia]

Algunos comentarios:

La ley de firma digital está vigente, tiene decreto reglamentario pero
todavía no sirve en Argentina porque al momento no existe ningún
"certificador licenciado",es decir el que es efectivamente autorizado a
generar y firmar certificados digitales, que es el elemento básico en una
estructura jerárquica de firma digital (PKI). En esa lucha andan el colegio
de escribanos de Capital Federal, aunque como biene se comenta en otro mail,
tampoco tienen muy en claro el tema de criptografía y firma digital.

Personalmente, el Ethical Hacking no me parece del todo "Ethical", si
consideramos que en principio, cuando no se usa como parte de un proceso de
auditoría, es una invación de la privacidad de otros individuos, aunque el
jsutificativo sea "si alguien deja la puerta abierta (tecnologicamente
hablando), no es mi problema".

Pregunta: Alguien sabe donde puedo sacar información sobre manejo de
certificados digitales, que no sea al estilo PGP, en Linux?

Saludos,

Andrés




----- Original Message -----
From: "Alejandro Gomez Fernandez" <agomez@micropack.com.ar>
To: <lugro@lugro.org.ar>
Sent: Tuesday, September 30, 2003 5:12 PM
Subject: [LUG.ro] Nota de seguridad en clarin...


> Una nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad
> de la información
>
> La gestión de las políticas de seguridad de la información obsesiona a
> miles de empresas de todo el mundo. Ahora, ya no se conforman con
> controlar los datos circulantes; también quieren ahorrar millones.
>
>
>
>
>
> En la actualidad, la gestión de las políticas de seguridad de la
> información es un área estratégica para gran parte de las empresas del
> mundo. La razón es simple: concentra buena parte de las pérdidas
> económicas que, en ocasiones, hasta pueden llevar a una empresa a la
> bancarrota en apenas unas horas. ¿Por qué la seguridad de la información
> se ha cristalizado en una obsesión tan común? Porque la
> confidencialidad, la integridad y la disponibilidad de la información se
> convirtieron en cualidades esenciales para mantener y asegurar la
> ventaja competitiva, el flujo de fondos, la rentabilidad, el
> cumplimiento de las leyes y la imagen comercial. Es decir, aplicar
> políticas de seguridad de la información sobre equipos y personas es
> cuidar la propia existencia de la compañía.
>
> “Las organizaciones, sus redes y sistemas de información enfrentan
> crecientes amenazas a su seguridad que incluye el fraude asistido por
> computadora, actos de espionaje, sabotaje, vandalismo y hasta incendio e
> inundación. Otros daños, como los ataques de virus, el “hacking” y la
> negación de servicio se están volviendo cada vez más habituales,
> ambiciosos y sofisticados”, explica Emilio Borré, experto en seguridad
> informática y profesor de Seguridad informática en el Instituto de
> Tecnología ORT, de Buenos Aires. A su juicio, como los sistemas no han
> sido diseñados para ser seguros, la seguridad sólo puede lograrse por
> medios técnicos y, por lo tanto, es limitada y debe ser respaldada por
> una gestión y unos procedimientos adecuados.
>
> Para empezar, la administración de la seguridad de la información exige
> la participación de todos los empleados y, según el caso, puede requerir
> la de los proveedores, clientes y accionistas. En la Argentina existe un
> código de gestión de la seguridad: la norma IRAM ISO 17799
> (www.iram.com.ar), basada en los estándares europeos y considerada “el
> manual blanco” de la información segura. Según la norma, desde el punto
> de vista legal, los controles que se consideran esenciales para proteger
> la seguridad informática comprenden la protección de datos, la
> confidencialidad de la información, la protección de los registros y
> documentos de la organización y los derechos de propiedad intelectual.
>
> Los custodios de la seguridad informática corporativa suelen lidiar a
> diario con errores e irregularidades. Según Borré, “los errores de
> diseño de las estructuras informáticas son hechos accidentales y tienen
> un impacto económico más importante a largo plazo. En cambio, las
> irregularidades son hechos intencionales y su impacto económico es más
> inmediato”. Lideran el ranking de los “desestabilizadores informáticos”
> las llamadas “bombas lógicas“, que se activan al producirse un
> acontecimiento determinado. La condición suele ser una fecha, una
> combinación de teclas o un estilo técnico. También están los “hoax” (o
> “camelos”), término utilizado para denominar a rumores falsos sobre
> virus inexistentes.
>
> El caso es que, a menudo, estos “globos” se difunden por la red con gran
> éxito, causando casi tanto daño como si fueran virus reales. Evocando la
> épica del famoso caballo de Troya, la tecnología informática bautizó
> como “troyanos” a los programas maliciosos que ocultan sus intenciones
> reales bajo la apariencia de un juego o animación. Lo curioso es que,
> para quienes trabajan en políticas de seguridad informática, los
> “hackers” o piratas informáticos (hasta ahora, emblema del espionaje
> tecnológico) ya no son “chicos malos”. Todo lo contrario: a partir de la
> profesionalización de la tecnología de la información, los hackers
> empezaron a ser considerados “intelectuales informáticos”.
>
> Las mismas normas IRAM ISO 17799 definen a los hackers como “personas
> que gozan alcanzando un conocimiento profundo sobre el funcionamiento
> interno de un sistema, de un ordenador o de una red de computadoras”.
> Según el manual, el término “hacker” suele utilizarse en forma indebida,
> con sentido peyorativo, cuando, para eso, sería más correcto utilizar el
> termino “cracker” (alguien que “rompe”), ya que los hackers proclaman
> defender un sentido ético y una serie de principios contestatarios e
> inconformistas pero nunca delictivos. Por su parte, la Justicia
> argentina, aunque lenta, también avanza en el marco legal de temas de
> tecnología de la información.
>
> Dos leyes, la 25.326, conocida como Ley de habeas data, y la número
> 25.506, o Ley de firma digital, empiezan a dar cierto marco a la
> vorágine tecnológica. La Ley de habeas data o de protección de datos
> personales entró en vigencia en 200, para proteger el derecho de las
> personas a saber lo que se publica sobre ellas Tiene el propósito de
> evitar eventuales abusos en la manipulación de información personal y
> comercial, regulando el tratamiento, uso y contenido de los archivos y
> registros públicos o privados. En síntesis: nadie puede acceder a los
> datos de nadie sin su consentimiento. El espíritu de la ley es proteger
> y mantener el derecho a la intimidad, jaqueada por el manejo abusivo de
> los sistemas informáticos.
>
> La Ley de firma digital está vigente desde 2001 y, por su alcance y
> trascendencia, promete generar más revuelo “Pronto, la firma digital
> será un elemento común en Internet. En poco tiempo más, habrá sido
> incorporada a toda transacción comercial que genere derechos y
> obligaciones entre las partes. Y las empresas deberán adaptarse a la
> nueva forma de identificación, autenticación y codificación en el
> ciberespacio”, explica Borré. Probablemente, la firma digital se
> implemente utilizando la técnica conocida como criptográfica (basada en
> la combinación de dos claves relacionadas), que pauta la utilización de
> una clave (la clave privada) para crear una firma y otra, (la clave
> pública), para confirmarla.
>
> Una firma digital tiene un valor único, superior aún a la firma de puño
> y letra, más falsificadle que su homónima electrónica. No sólo confirma
> la identidad del remitente sino, también, que nadie ha modificado el
> contenido del e-mail durante la transmisión, antes de su llegada a
> destino. Esto es, seguramente, lo más trascendente de la ley, ya que,
> entre otras cosas, facilitará la implementación del sistema de voto
> electrónico, permitirá a los legisladores votar antes de que cierre la
> sesión desde cualquier lugar en el que se encuentren y hará posible que
> los ciudadanos puedan sufragar desde su casa, a través de sus propias
> computadoras personales.
>
> _______________________________________________
> Lugro mailing list
> Lugro@lugro.org.ar
> http://www.lugro.org.ar/mailman/listinfo/lugro


---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.521 / Virus Database: 319 - Release Date: 24/09/2003